Политика безопасности организации.
Политика безопасности Политика безопасности организации (англ. organizational security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации. В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике безопасности более формально, то она есть набор неких требований к функционалу системы защиты, закрепленных в ведомственных документах. Например, в финансовых организациях зачастую принято, чтобы в продукте предусматривалось присутствие нескольких административных ролей: администратор, аудитор и оператор системы защиты. Такое ролевое управление информационной безопасностью —скорее дань традиции и теоретически позволяет избежать «сговора» администратора и злоумышленника из числа пользователей. Для того, чтобы включить данный функционал продукта в профиль защиты, целесообразнее всего ввести соответствующую политику безопасности. Политика безопасности зависит: - от конкретной технологии обработки информации; - от используемых технических и программных средств; - от расположения организации; С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта. Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям. Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию. С процедурами аутентификации и авторизации тесно связана процедура администрирования действий пользователя. ГОСТ 15408 - «Критерии оценки безопасности информационных технологий» Согласно ГОСТ 15408 «Критерии оценки безопасности информационных технологий» (КОБИТ), ПБ организации - это одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности [3, 8]. ПБ является одним из компонентов среды безопасности, включающей также законы, опыт, специальные навыки, знания и угрозы безопасности, присутствие которых в этой среде установлено или предполагается. Изложение ПБ организации включается в такие документы, как Профиль защиты и Задание по безопасности. В дальнейшем положения ПБ используются при формулировании Целей безопасности для объекта оценки и его среды. Также подчеркивается необходимость наличия механизмов проверки соответствия объекта оценки ПБ. Тем самым ПБ рассматривается в КОБИТ, прежде всего, как одно из базовых начальных условий для разработки и оценки информационной системы. Однако определение ее чрезвычайно туманно, и, хотя круг вопросов, подлежащих формализации в рамках ПБ, очерчен, конкретные особенности разработки этого документа не затрагиваются. Более того, КОБИТ оставляют за рамками рассмотрения целый ряд проблем, традиционно включаемых в понятие «политика безопасности»: это и административные меры, и физическая защита, и вопросы управления персоналом. Такой подход, обеспечивающий некоторую дополнительную универсальность, подчеркивается самими разработчиками КОБИТ. Таким образом, сами по себе КОБИТ не содержат практических рекомендаций по разработке ПБ, а являются некоторым метастан-дартом, позволяющим формализовать отдельные аспекты ПБ, что мы покажем ниже. Следует отметить, что некоторые организационные вопросы ИБ определены в документе «Общая методология оценки безопасности информационных технологий», разработанного в рамках международного проекта «Общих критериев» (Common Criteria for IT Security Evaluation), однако не имеющего пока нормативного аналога в нашей стране. 1) Политика безопасности 1) ГОСТ Р ИСО/МЭК 15408 Похожие работы:
Поделитесь этой записью или добавьте в закладки |